吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 47921|回复: 130
收起左侧

[PC样本分析] 对学校打印店U盘病毒的简单分析

    [复制链接]
YHZX_2013 发表于 2015-6-11 22:30
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
今天去学校打印店打印,插上U盘之后,瞬间不好的事情就发生了:
1、U盘里面只剩下一个MyDocuments.exe,伪装成文件夹图标
2、所有的文件都没了……被放到了一个隐藏的系统文件夹里面。

于是只好淡定地打印完之后,回来开始分析这个MyDocuments.exe,看看到底干了些什么……
首先用PEID侦壳:
1.jpg
加了UPX壳,压力不大……小心翼翼扔到OD里面脱壳,使用ESP定律,找到OEP:
2.jpg
用LoadPE dump程序,用ImportREC进行修复转存文件:
3.jpg
然后脱壳完成,是VC6的程序:
4.jpg

1、时间触发的后门分析
接下来把脱壳后的程序扔到IDA里面F5看算法, main函数的前半部分功能:
5.jpg
其中关键后门函数在sub_401150:
6.jpg
这里可以看到,病毒首先取了本地日期进行了判断,如果日期在2011年4月1日到2011年5月1日之间【好老的病毒,汗……】,则会触发后门,执行sub_4010A0函数,并且在1个小时之后强制重启电脑。
那么再看看sub_4010A0:
7.jpg
发现其对盘符:CDEFGHIJK,进行了遍历操作,并且利用GetDriveTypeA获取磁盘类型,如果是3(DRIVE_FIXED),即固定硬盘,触发400次sub_401000函数,以盘符和计数器做参数,主要代码:
wsprintfA(&FileName, "%c:\\%d", a1, a2);
v2 = CreateFileA(&FileName, 0x10000000u, 0, 0, 1u, 6u, 0);

SetFilePointer(v2, 0xC800000, 0, 0);
这里会把盘符和计数器进行组合文件名,生成200MB大小的系统文件填充磁盘,如果400个的话就是……每个磁盘填充400*200MB=78.125GB的垃圾文件……【好吧……真无聊……】

2、自启动分析
后门分析完毕,接下来看看如何完成的程序自启动。上面对程序MyDocuments.exe所在运行路径使用GetCurrentDirectoryA进行了获取,并使用GetDriveTypeA获取磁盘类型,如果是固定硬盘:
8.jpg
首先在当前盘符的Program files目录下,将程序平行目录下的WINLOGON.EXE拷贝到C:\\Program Files\\Internet Explorer\\WINLOGON.exe,其中还调用了sub_4012C0、sub_4011E0、sub_4012A0和sub_401580四个函数,其中前三个和自启动有关:
sub_4012C0,判断C:\\Program Files\\Internet Explorer\\WINLOGON.exe是否已经存在,如果不存在,则进行拷贝。
sub_4011E0,主要做注册表操作,以完成自启动:
9.jpg
大概过程是将Program files下面的system.caca,添加到开机启动注册表software\\Microsoft\\Windows\\CurrentVersion\\Run,然后再设置.caca文件的运行方法,即利用C:\\Program Files\\Internet Explorer\\WINLOGON.exe来运行.caca,这样就变向开机启动了C:\\Program Files\\Internet Explorer\\WINLOGON.exe。
sub_4012A0:创建system.caca


3、文件隐藏与诱导点击
sub_401580主要完成了这个功能,看看当判断在移动磁盘里面点击时:
10.jpg
11.jpg
主要功能在sub_4013a0中:
12.jpg
13.jpg
首先拷贝生产MyDocument.exe,然后新建MyDocument文件夹,将属性设置为6(FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM),然后把其他U盘文件移动进去,这样就出现了之前那一幕……
但是这样一个U盘摆渡病毒,只是为了触发2011年的一个时间后门?……

免费评分

参与人数 46威望 +1 吾爱币 +14 热心值 +43 收起 理由
jadepi + 1 谢谢@Thanks!
念安 + 1 + 1 谢谢@Thanks!
x8086 + 1 + 1 我很赞同!
叉叉学破解 + 1 + 1 我很赞同!
金化铯 + 1 + 1 用心讨论,共获提升!
shanwfi + 1 我很赞同!
所幸丶 + 1 + 1 用心讨论,共获提升!
wabc666 + 1 + 1 已答复!
拾海贝的路人甲 + 1 我很赞同!
凌波波微步步 + 1 + 1 我很赞同!
Turner + 1 + 1 我很赞同!
zhangruoya + 1 我很赞同!
lionur + 1 + 1 已答复!
e百年 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
西红柿炒蛋蛋 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
shi0288 + 1 热心回复!
狐丶神 + 1 谢谢@Thanks!
shareone0 + 1 用心讨论,共获提升!
心中有曲自然嗨 + 1 谢谢@Thanks!
610100 + 1 热心回复!
affkong + 1 我很赞同!
赵氏春秋 + 1 用心讨论,共获提升!
zamliage + 1 我很赞同!
QWERTYUIOP[] + 1 已答复!好厉害
钢铁不败 + 1 我很赞同!
Sokwva + 1 我很赞同!
free648 + 1 大神,膜拜啊!
Alone6 + 1 已答复!
wangj + 1 我很赞同!
cunese + 1 用心讨论,共获提升!
菜鸟也想飞 + 1 谢谢@Thanks!
huangzihang + 1 哇塞!打印店老板可能都不知道你会这些。甚.
lingyulingyu + 1 热心回复!
nyczpro + 1 厉害,膜拜大牛
willJ + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
lgz0701 + 1 看的不太懂,但是感觉好牛B
Bds1r + 1 膜拜大牛
hancc91 + 1 大神你好
loveLYF + 2 我很赞同!
yjcffsai + 1 我很赞同!
kinaha + 1 我很赞同!
wwe杨云VGe + 1 谢谢@Thanks!
1050577957 + 1 我很赞同!
huzikai0424 + 1 谢谢@Thanks!
吾爱T阿杰 + 1 佩服
大爱薛凯琪 + 1 厉害

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

吾爱T阿杰 发表于 2015-6-11 22:44
这么牛x的分析,居然没什么人评论和评分

免费评分

参与人数 1热心值 +1 收起 理由
liphily + 1 用心讨论,共获提升!

查看全部评分

hongge 发表于 2017-1-9 19:12
qwuiop789 发表于 2015-6-13 18:04
这是一个机房的U盘的病毒,U盘文件全部被改为exe文件,删不掉,还会造成电脑死机。

扩展名为.dll

lpk.dll病毒已经很老了,跟usp10.dll病毒是同一个类型的~
马甲 发表于 2015-6-11 22:39
就是个蠕虫木马,一般有个自动运行文件autorun.ini或者lpk.dll一类,不停的感染exerar。。。这些木马不新颖了,小菜的见解。。。
头像被屏蔽
wwe杨云VGe 发表于 2015-6-11 22:51
提示: 作者被禁止或删除 内容自动屏蔽
yl笑倾城 发表于 2015-6-11 22:55
好牛逼呀,,,我在学习了
头像被屏蔽
865394542 发表于 2015-6-11 22:58
提示: 作者被禁止或删除 内容自动屏蔽
初亦泽 发表于 2015-6-11 23:09 来自手机
我就来看看学学习
蚯蚓翔龙 发表于 2015-6-11 23:25
好老的病毒
比你逗的逗比 发表于 2015-6-11 23:33
南京的小伙伴?我在学校打印,两个优盘都变成这样了o(╯□╰)o。不过好像没什么事
yuanfangzheng 发表于 2015-6-12 06:29 来自手机
围观→_→
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 05:29

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表